V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
justtoxic
V2EX  ›  DNS

家用路由器 DNS 被劫持,想问问怎么做到的

  •  
  •   justtoxic · 2019-07-21 20:33:43 +08:00 via iPhone · 7958 次点击
    这是一个创建于 1931 天前的主题,其中的信息可能已经有所发展或是发生改变。
    放假回家一趟,家里是移动光纤,猫后面接了一个便宜的迅捷路由器 FW325R,移动是内网 IP。
    可是呢 Wi-Fi 连接上路由器之后总感觉不流畅。经检查发现路由器的 DNS 被改成了 45.113.201.46 。
    应该是被劫持了,改 DNS 之后网络访问正常了。
    问题是这个路由器后台是强密码特殊字符加数字字母 1Password 生成的,即便是被蹭了也应该不会被轻易登陆改掉 DNS 才对,想了解下这个怎么发生的以及如何避免。
    22 条回复    2019-07-22 20:02:23 +08:00
    bluehr
        1
    bluehr  
       2019-07-21 20:48:41 +08:00
    开启了 wps 功能吗?开启后很容易被破解 pin 了,不过若是特地破解你的路由器就为了改你的 dns 好像也没多大意义吧。。
    bfdh
        2
    bfdh  
       2019-07-21 20:58:38 +08:00
    关注下,不好说话。
    arrow8899
        3
    arrow8899  
       2019-07-21 21:11:33 +08:00
    自动获取的吧
    celeron533
        4
    celeron533  
       2019-07-21 21:32:23 +08:00
    wifi 万能钥匙用户连接过?然后被邻居中病毒的电脑蹭网连上,木马病毒使用已知路由软件漏洞直接管理员登陆然后修改 DNS ?
    ysc3839
        5
    ysc3839  
       2019-07-21 21:33:54 +08:00 via Android
    路由器有安全漏洞?
    ShareDuck
        6
    ShareDuck  
       2019-07-21 22:18:58 +08:00 via Android
    确定路由器不是移动获取运营商 DNS ?没听说过有人入侵后就改你 DNS 的。
    wunonglin
        7
    wunonglin  
       2019-07-21 22:39:28 +08:00
    换路由器,不用所谓的互联网路由器,用传统的
    leavic
        8
    leavic  
       2019-07-21 22:53:45 +08:00
    你怎么确定这个不是 ISP 下发的默认 DNS ?
    justtoxic
        9
    justtoxic  
    OP
       2019-07-22 00:45:47 +08:00 via iPhone
    @bluehr 没有开 wps,只开了 upnp
    justtoxic
        10
    justtoxic  
    OP
       2019-07-22 00:46:37 +08:00 via iPhone
    @leavic 这个不是下发的 dns,是 Wi-Fi 的 dhcp 下发的 dns
    justtoxic
        11
    justtoxic  
    OP
       2019-07-22 00:57:31 +08:00 via iPhone
    @ShareDuck 移动光猫的 dns 是 pppoe 获得的,那个是正常的。问题出在 Wi-Fi 的 dhcp 下发的 dns,这个 dns 我没有设置过,默认是继承 pppoe 的 dns 吧,可是这个被改成了 45 那个 dns,还有一个 114dns
    Mac
        12
    Mac  
       2019-07-22 01:23:32 +08:00 via Android
    wifi 不下发 DNS 吧,没有制定都是默认网关做 DNS,比如 192.168.1.1,你应该是被本地某软件改的本机 DNS 吧
    justtoxic
        13
    justtoxic  
    OP
       2019-07-22 01:37:01 +08:00 via iPhone
    @Mac 不是本机 dns 被改,我路由器后台看过了,是 Lan 侧 dhcp 下发的 dns 被改了
    vmebeh
        14
    vmebeh  
       2019-07-22 01:52:36 +08:00 via iPhone
    登录了没退出没关过浏览器某些打开的网页访问了修改 dns 的 url 就能实现改路由器参数
    搜了一下叫 CSRF

    远古路由器接受类似这种设置方式:hxxp://192.168.1.1/start_apply.htm?dnsserver=66.66.66.66
    wwbfred
        15
    wwbfred  
       2019-07-22 02:45:16 +08:00
    既然是路由下发的 DNS 被修改,那最关键的就是检查 dhcp 的日志.只有这个能告诉你具体发生了什么.
    如果猜测的话,原因太多了.内核漏洞被利用从 wan 入侵,连接管理路由器使用的连接未加密被人抓包到密码,内网设备中毒传染到路由器,wifi 本身使用弱密码弱加密算法...
    管理路由器要谨慎.因为这是网络的看门狗,它被攻破了后果难以承担.个人的建议是:
    1.对于没有有相关知识的人管理的局域网,请使用 TP-LINK 等传统路由器并实时更新固件.
    2.互联网路由器拿回来后第一件事情就是刷开源固件和 uboot,如 Openwrt.固件内核不能有已知的重大漏洞,尤其是可从 wan 攻击的漏洞.内核可以不保持最新,但出现了重大漏洞一定要及时更新.
    3.wifi 本身的密码并不要求特别复杂,但一定要使用强密码算法,同时管理请尽量使用 ssh.在没有 https 的情况下,尽量减少使用 luci 或其他图形界面.
    starsriver
        16
    starsriver  
       2019-07-22 08:48:41 +08:00 via Android
    上面的人怎么这么多疑神疑鬼。一个个人家庭路由器没必要入侵吧。有可能是家里人自己改的。
    johnjiang85
        17
    johnjiang85  
       2019-07-22 09:43:04 +08:00
    春节时候的事情了,可以关注下 DNSPod 公众号有相关文章推送,cncert、派网等公众号也有推送,感染了国内超过 400 万家用路由器。
    johnjiang85
        18
    johnjiang85  
       2019-07-22 10:08:21 +08:00   ❤️ 1
    可以搜索 “关于部分用户路由器被黑客攻击影响用户解析的初步说明”,“关于境内大量家用路由器 DNS 被篡改情况通报”,“家用路由器被劫持的分析与应对”等文章,会对该事件有一定的了解,虽然不是全部了解。
    tankren
        19
    tankren  
       2019-07-22 10:16:11 +08:00
    楼主是不是扬州的?这个应该是本市的 ISP DNS 吧
    justtoxic
        20
    justtoxic  
    OP
       2019-07-22 11:22:56 +08:00 via iPhone
    @johnjiang85 看到了,确实是这个症状
    catcalse
        21
    catcalse  
       2019-07-22 16:45:54 +08:00
    你确定这个 dns 是被劫持了吗?
    justtoxic
        22
    justtoxic  
    OP
       2019-07-22 20:02:23 +08:00 via iPhone
    @catcalse 是的,如果你打开一个不知名的网站会跳转到一个色情网页然后重新跳转
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1083 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 27ms · UTC 19:36 · PVG 03:36 · LAX 12:36 · JFK 15:36
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.